شرکت موزیلا در مورد ظهور جرم با افزونه های فایرفاکس. برای همه کاربران مرورگر، افزونهها به دلیل انقضای گواهی استفاده شده برای تولید امضای دیجیتال مسدود شدند. علاوه بر این، ذکر شده است که نصب افزونه های جدید از کاتالوگ رسمی غیرممکن است (addons.mozilla.org).
راه برون رفت از این وضعیت فعلا ، توسعه دهندگان موزیلا در حال بررسی راه حل های احتمالی هستند و تاکنون تنها به تأیید کلی وضعیت محدود شده اند. فقط ذکر شده است که افزونه ها پس از 0 ساعت (UTC) در تاریخ 4 مه غیرفعال شدند. این گواهی قرار بود یک هفته پیش تمدید شود، اما بنا به دلایلی این اتفاق نیفتاد و این واقعیت مورد توجه قرار نگرفت. اکنون چند دقیقه پس از راه اندازی مرورگر، هشداری مبنی بر غیرفعال شدن افزونه ها به دلیل مشکلات امضای دیجیتال نمایش داده می شود و افزونه ها از لیست حذف می شوند. امضای دیجیتال یک بار در روز یا پس از راهاندازی مرورگر بررسی میشود، بنابراین در موارد طولانی فایرفاکس، افزونهها ممکن است فوراً غیرفعال نشوند.
به عنوان یک راه حل برای بازگرداندن دسترسی به افزونه ها برای کاربران لینوکس، می توانید تأیید امضای دیجیتال را با تنظیم متغیر "xpinstall.signatures.required" روی "false" در about:config غیرفعال کنید. این روش برای نسخههای پایدار و بتا فقط روی لینوکس و اندروید کار میکند؛ برای ویندوز و macOS، چنین دستکاری فقط در نسخههای شبانه و در نسخه توسعهدهنده امکانپذیر است. به عنوان یک گزینه، همچنین می توانید مقدار ساعت سیستم را به زمان قبل از انقضای گواهی تغییر دهید، سپس امکان نصب افزونه ها از کاتالوگ AMO باز می گردد، اما پرچم غیرفعال نصب شده از قبل حذف نخواهد شد.
یادآوری می کنیم که تأیید اجباری افزونه های فایرفاکس با استفاده از امضای دیجیتال بود در آوریل 2016. به گفته موزیلا، تأیید امضای دیجیتال به شما امکان می دهد از گسترش افزونه های مخربی که از کاربران جاسوسی می کنند جلوگیری کنید. برخی از توسعه دهندگان افزونه با این موضع، آنها معتقدند که مکانیسم تأیید اجباری با استفاده از امضای دیجیتال تنها مشکلاتی را برای توسعه دهندگان ایجاد می کند و منجر به افزایش زمان لازم برای ارائه نسخه های اصلاحی به کاربران می شود، بدون اینکه به هیچ وجه امنیت را تحت تأثیر قرار دهد. موارد پیش پا افتاده و بدیهی زیادی وجود دارد برای دور زدن بررسی خودکار افزونههایی که اجازه میدهند کدهای مخرب بدون توجه وارد شوند، به عنوان مثال، با ایجاد یک عملیات در جریان با به هم پیوستن چندین رشته و سپس اجرای رشته حاصل با فراخوانی eval. موقعیت موزیلا دلیل آن این است که اکثر نویسندگان افزونه های مخرب تنبل هستند و برای پنهان کردن فعالیت های مخرب به چنین تکنیک هایی متوسل نمی شوند.
ضمیمه: توسعه دهندگان موزیلا درباره شروع آزمایش رفع مشکل، که در صورت آزمایش موفقیت آمیز، به زودی به اطلاع کاربران خواهد رسید (تصمیم در مورد اعمال اصلاح پیشنهادی هنوز گرفته نشده است). تولید امضای دیجیتال برای افزونههای جدید غیرفعال است تا زمانی که اصلاحیه اعمال شود.
منبع: opennet.ru